今年勒索軟體駭客Black Basta的動作頻頻,其中發生在今年5月的美國大型醫療照護系統Ascension事故最為受到關注,美國網路安全暨基礎設施安全局(CISA)與聯邦調查局(FBI)當時特別提出警告,如今這群駭客也結合社交工程手法,引誘使用者上當,從而入侵企業組織的內部網路環境從事後續攻擊行動。

資安業者ReliaQuest指出,他們在10月下旬看到駭客使用的戰術、手段、流程(TTP)出現顯著的變化。

首先,發動大規模垃圾郵件攻擊後,上鉤的使用者就會被引至與特定微軟Teams用戶交談,攻擊者通常會透過貌似微軟技術支援人員、管理者、服務臺成員的Entra ID帳號登入微軟Teams,而且在Teams用戶身分顯示沿用這些名稱,使一般人誤以為他們是微軟的這些工作人員,而且,駭客通常會將帳號的顯示名稱設置為含有Help Desk的字串,聊天室的名稱多半是OneOnOne。

研究人員指出,攻擊者主要來自俄羅斯,根據Teams的事件記錄的時區資料,他們大多位於莫斯科。

Teams群組裡面會發生什麼事?對方試圖引誘目標用戶使用QuickAssist尋求支援,但也有使用AnyDesk的情況,此外,駭客會在Teams對話提供偽造合法品牌的QR Code條碼,但這些條碼的用途目前仍不清楚。研究人員推測,攻擊者有意藉此引誘使用者存取惡意基礎設施。

假如使用者照做,攻擊者就有機會藉由上述的遠端管理工具(RMM)控制受害電腦,並植入AntispamAccount.exe、AntispamUpdate.exe、AntispamConnectUS.exe等有效酬載,最終部署滲透測試工具Cobalt Strike,以便將受害電腦當作存取企業內部網路環境的跳板。

熱門新聞

Advertisement